Nawet najwięksi, a więc potencjalnie najlepiej (przynajmniej w teorii) zabezpieczeni gracze na rynku finansowym, dają się czasem zmanipulować przestępcom, którzy – jak to często określają media – napadają na nie bez broni. Tego rodzaju wpadkę zaliczył pod koniec zeszłego roku jeden z największych banków amerykańskich – Wells Fargo. Aby pozostać fair wobec banku, należy także przyznać, że w kradzieży pomogła także niefrasobliwość kontrahenta ofiary, o czym poniżej.

Oszustowi nie można odmówić odrobiny wytrwałości, bowiem dopiero trzecia podjęta przez niego próba wyłudzenia zakończyła się sukcesem i zachęciła go do dalszych wysiłków. Zastanawiająca jest natomiast lekkość, z jaką bank potraktował nieudane próby wyłudzenia, przeplatające się z udanymi, który to fakt powinien u osoby odpowiedzialnej za monitoring płatności elektronicznych zapalić czerwoną lampkę. Przypadek ten doskonale ilustruje, jak istotne w procesie zarządzania ryzykiem nadużyć jest wyczulenie na wszelkie niestandardowe sytuacje, mogące być symptomem nadużycia i jednocześnie – jak niewiele wysiłki czasem trzeba, aby takiemu incydentowi zapobiec.

Przestępca za swój cel obrał środki przechowywane na rachunku escrow należącym do sieci zakładów opieki zdrowotnej Catholic Healthcare West. Organizacja ta była zobowiązana do utrzymywania na rachunku w Wells Fargo 7,5 miliona dolarów jako depozytu wynikającego z umowy o świadczenie usług medycznych dla hrabstwa Merced.

Catholic Healthcare West postanowiło przenieść rachunek escrow z banku Wells Fargo do WestAmerica Bank, do czego potrzebowała zgody władz hrabstwa. Z uwagi na chęć zachowania całkowitej transparentności, władze hrabstwa Merced… zamieściły umowę prowadzenia rachunku na swojej stronie internetowej. Na opublikowanym dokumencie znalazły się podpisy przedstawicielki hrabstwa oraz dyrektora finansowego Catholic Healthcare West.

Rzeczone podpisy posłużyły oszustowi do sprokurowania pisma, zlecającego przekazanie Wells Fargo 445 tysięcy dolarów z rachunku CHW na rachunek HUGE International T. Ltd., prowadzonego przez nowojorski oddział HSBC. Pismo zostało wysłane do banku faksem 6 grudnia 2011 r. i zawierało niezbędne autoryzacje obu stron umowy, czyli przedstawicieli hrabstwa i CHW. Wells Fargo nie zrealizował jednak tej dyspozycji, z uwagi na fakt, że przelew wrócił do niego z HSBC z adnotacją o braku rachunku docelowego.

Przedstawiciel banku wprawdzie próbował się skontaktować z Catholic Healthcare West, ale zamiast użyć numeru telefonu znajdującego się w dokumentacji klienta, skorzystał z numeru podanego na faksie. Nic zatem dziwnego, że rzekomy przedstawiciel CHW ochoczo potwierdził fakt próby dokonania operacji.

14 grudnia miała miejsce druga próba wyłudzenia, na tę samą kwotę i oparta na identycznym schemacie, przy czym tym razem rachunek HUGE International prowadzić miał Hang Seng Bank z Hongkongu. Jednakże kwota znów powróciła na konto CHW, gdyż rachunek beneficjenta nie istniał.

19 grudnia Wells Fargo otrzymał kolejną dyspozycję, tym razem na transfer 989 tysięcy dolarów na rachunek Textil Trading UK Limited w Standard Chartered Bank, oddział w Hongkongu. To zlecenie udało się bez przeszkód zrealizować.

Zachęcony powodzeniem oszust już dwa dni później przefaksował kolejną dyspozycję przelewu już 2,9 miliona dolarów na to samo konto. Nie została ona zrealizowana, ale jedynie z powodów operacyjnych – zgromadzenie takiej kwoty wymagało bowiem sprzedaży posiadanych przez CWH papierów wartościowych, zaś z faksu nie wynikało, które aktywa mają zostać zbyte.

Skoro nie udało się z kwotą 2,9 miliona, dlaczego zatem nie spróbować z mniejszą? Kolejnego dnia Wells Fargo otrzymał faks ze zleceniem przekazania na znany już rachunek kwoty 1,1 miliona dolarów – tę operację zrealizowano bez przeszkód.

Kolejnym zleceniem było przekazanie 2,2 miliona dolarów, otrzymane przez Wells Fargo 28 grudnia. Tym razem wreszcie bankier odpowiedzialny za rachunek Catholic Healthcare West postanowił potwierdzić dyspozycję telefonicznie, dzwoniąc na numer posiadany w dokumentach klienta. To wystarczyło, aby zorientować się, że organizacja padła ofiarą wyłudzenia.

Wells Fargo oczywiście zwrócił środki Catholic Healthcare West oraz złożył zawiadomienie o przestępstwie, gdyż jest to niezbędne w celu podjęcia prób odzyskania środków przekazanych do Hongkongu. Przedstawiciele banku w wydanym oświadczeniu ogłosili, że Wells Fargo padł ofiarą “wyrafinowanego oszustwa”. Wydaje się jednak, że określenie to przyłożone do zastosowanego przez oszustów schematu jest nieco na wyrost…